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© Pour eviter qu'une personne ayant- trouvS une 
carte d'abonnement (5) de television a peage, ou 
I'ayant volee, ne I'utilise frauduleusement, on inscrit 
dans une zone protegee en lecture et ecriture de la 
carte I'identite de l*abonne\ Au dSbut de la peViode 



d'utilisation d'une nouvejle carte (6), I'Smetteur (2) 
compare I'identite de la nouvelle carte a celle de 
I'ancienne. et ne de^ivre le mot de controle que si 
les deux identites sont les m§mes. 
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PROCEDE DE PROTECTION CONTRE L'UTILISATION FRAUDULEUSE DE CARTES A MICROPROCESSEUR, 

ET DISPOSITIF DE M1SE EN OEUVRE 



La presente invention se rapporte a un precede 
de protection contre ('utilisation frauduleuse de car- 
tes a microprocesseur, et a un dispositif de rnise 
en oeuvre de ce procede. 

Certains reseaux de television a peage neces- 
sitent ('utilisation de cartes a microprocesseur en 
tant que moyens de paiement pour les prestations 
servies. 

Ces cartes peuvent etre perdues par leurs pos- 
,sesseurs legitimes, ou elles.peuvent leur etre vo- 
lees. En general, ces cartes ont une duree de 
validite de quelques mois, afin de limiter ces ris- 
ques, ainsi que les risques de contrefagon Toute- 
fois, en cas de perte ou de vol, la personne ayant 
recupere une carte peut f'utiliser frauduleusement, 
et a la fin de la dur£e de validite peut, si elle a 
suffisamment de connaissances techniques, arriver 
a simuler le signal envoye par le iecteur de cartes 
pour faire savoir a I'emetteur de programmes que 
la carte utiiisee est encore valable. 

La presente invention a pour objet un procede 
permettant d'empecher une personne non autori- 
see d'utiliser dans un systeme, en particulier de 
surveillance ou de distribution de biens ou de pres- 
tations, une carte a microprocesseur apres la fin de 
la periode de validite de cette carte. La presente 
invention a egalement pour objet un dispositif de 
mise en oeuvre de ce procede. 

Le procede de la presente invention consiste a 
attribuer une identite a chaque utiiisateur et a ia 
memoriser dans les cartes qui lui sont delivrees et 
a verifier a la fin de la periode de validite d'une 
carte a microprocesseur, lors de son renouvelle- 
ment que la nouvelle carte a la meme identite que 
la carte precedente. 

Selon un aspect du procede de I'invention, on 
reserve dans les cartes au moins un champ dans 
lequel on memorise des donnees uniques relatives 
a Pidentite" de I'utilisateur et on verifie dans la carte 
que lorsque I'utilisateur met en service une nouvel- 
le carte, ledit champ de la nouvelle carte est le 
meme que ceiui de I'ancienne carte. . 

Le dispositif de I'invention est un reseau, en 
particulier de distribution de biens ou de services, 
comprenant au moins un centre de gestion ou 
emetteur et au moins un terminal, dans lequel le 
terminal comporte des moyens permettant de me- 
moriser le contenu crypte d'un champ donne d'une 
premiere carte a microprocesseur utiiisee dans un 
terminal donne, et des moyens pour envoyer vers 
une seconde carte ledit contenu memorise. 

La presente invention sera mieux comprise a la 
lecture de la description detainee d'un mode de 
realisation, pris comme exemple non limitatif et 



illustre par le dessin annexe* sur lequei : 

- la figure 1 est un bloc-diagramme simplifie* 
d'un reseau conforme a I'invention, et 

- la figure 2 est un diagramme de champ d'iden- 
5 tification d'une carte a microprocesseur utiiisee 

dans le reseau de la figure 1 . 
L'invention est decrite ci-dessous en reference 
a un reseau de television a. peage, mais il est bien 
entendu qu'eile n'est pas limitee a une telle appli- 
w cation, et qu'eile peut etre mise en oeuvre dans 
tout reseau tel qu'un reseau de surveillance de 
biens et/ou de personnes ou un reseau de distribu- 
tion de biens ou de services (reseau de distribu- 
tees de billes de banque ou de spectacles, d'es- 
is sence, de caisses enregistreuses de magasins ...). 
Un tel reseau comporte au moins un centre de 
gestion {ou serveur) ou un emetteur, et au moins 
un terminal approprie pouvant §tre proche ou dis- 
tant du centre de gestion ou de I'emetteur, ce 
20 terminal. comportant des moyens pouvant cooperer 
avec des cartes a microprocesseur. 

Le reseau 1 de television a peage de la figure 
1 comporte un emetteur 2 et piusieurs receptees. 
Pour simplifier le dessin, un seul recepteur, refe- 
25 rence 3, a ete* represents . 

Ce recepteur 3 comporte un dispositif d'affi- 
chage '3 , qui peut etre I'ecran de ce recepteur. On 
n'a represente dans le recepteur 3 que le seul 
dispositif necessaire a Pexpose de I'invention, a 
30 savoir un Iecteur 4 de cartes a microprocesseur 
(connues sous I'appeilation de "smart card"). Ces 
cartes peuvent comporter, en pfus de leurs circuits 
habituels, des jonctions fusibles ("jetons") qui re- 
presented un credit demissions, et qui sont gril- 
'35 lees au fur et a mesure de I'utilisation de carte. 

On a represente en figure 1 une premiere carte 
5 (en traits pleins) qui represente la carte dont la 
peViode de validite vient de s'achever, et une 
deuxieme carte 6 (en traits interrompus) qui repre- 
40 sente la nouvelle carte correspondant a la periode 
de validite suivante. 

Les cartes 5,6 comportent de facon habituelte, 
dans ieur section de m^moire inhibe*e en lecture et 
en ecriture, piusieurs champs de donnees secre- 
45 tes. Ces donnees secretes sont par exemple le 
numero d'identification de la carte, le r\umero de 
compte en banque de I'utilisateur, son credit per- 
mis, un algorithm© de de*cryptage... 

Une de ces sections est representee en figure 
so 2, et rSf6rencee 7 pour la carte 5 et 7 pour la carte 
6. Cette section 7 (/) est reserve© a des donnees 
d'identjfication de la carte. Cette section 7 (7') 
comporte deux champs 8,9 (pour la carte 5) et 
8' ,9 (pour ia carte 6). Le champ 8 (8') comprend 
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des donnees representant des parametres de vali- 
dite (periods de validite...) ou de personnatisation 
de Pabonnement pour iequel est emise la carte 
(genre demission, duree,...). Le champ 9,9 
contient un code d' identification de la carte et/ou 
du porteur. 

En outre, la section 7,7 contient un champ 
10,10/ qui contient, dans !e present exemple, un 
seul bit. Ce champ 10,10 n'est pas ndcessaire- 
ment contigu aux champs 8,9 ou 8 , 9 . Le bit du 
champ 10,10 est initiaiement un zero. L'emetteur 2 
verifie que lorsqu'une nouvelle carte 6 est introdui- 
te dans le lecteur 4 au debut d'une nouvelle perio- 
de de validite, le bit du champ 10 est bien un 
zero. Si tel est le cas, l'emetteur 2 demande a 
I'utilisateur (affichage en 3 ) d'introduire dans le 
lecteur 4 I'ancienne carte 5 pour avoir connaissan- 
ce de son champ 9 et le memorises puis demande 
a I'utilisateur de reintroduce dans le lecteur 4 la 
carte 6, et envoie a la carte 6 le champ 9- Si la 
carte 6 constate qu'il y a identite entre ces deux 
champs, la carte 6 autorise le d^codeur du lecteur 
4 a commander ['inscription d'un "1" dans 10 et 
peut alors fonctionner normalement, c'est-a-dire 
qu'elle defivre le mot de controle au recepteur 3 
pour lui permettre de desembrouiller les program- 
mes embrouilies, pendant toute la dur£e de validite 
de la carte 6. Sinon, le lecteur commande I'afficha- 
ge en 3' d'un message de carte non valable, et la 
carte ne peut pas envoyer le mot de controle et 
peut etre inhibee de fagon definitive. Ainsi, selon la 
presente invention ('identity encryptee de I'ancien- 
ne carte 5 est provisoirement memorisee dans le 
lecteur 4 (ou elle est accessible de I'exterieur, mais 
du fait qu'elle est encryptee selon le concept de 
connaissance nulle "zero knowledge", on ne peut 
pas retrouver cette identity), puis envoyee a la 
nouvelle carte 6. L'identite de la nouvelle carte ne 
peut etre transferee vers le lecteur 4 que si cette 
carte a ete validee, done reconnue bonne. 

On notera que si I'utilisateur effectue le chan- 
gement de carte en cours de fonctionnement du 
recepteur 3, celui-ci garde en memoire la valeur du 
champ 9 de la carte 5, et lorsque I'utilisateur enle- 
ve la carte 5 pour la remplacer par la carte 6, cette 
carte 6 est initialisee (inscription d'un "1 " dans le 
champ 10 ) automatiquement si elle est valide, 
c'est-a-dire si le contenu de son champ 9' est* 
identique au contenu du champ 9 de la carte 5. 

Selon une variante, on peut prevoir un champ 
supplementaire dans la section 7,7 comportant un 
nume>o de code connu du seul utilisateur legitime 
qu'il doit composer avant I'initialisation d'une nou- 
velle carte. 

Ainsi, selon la presente invention, I'autorisation 
de mise en service d'une carte est independante 
de I'obtention du mot de controle, dans le cas d'un 
reseau de television a peage. 



Revendications 

1. Procede permettant d'empecher une personne 
non autoris^e d'utiliser dans un systeme de distri- 

s bution de biens ou de prestations, ce systeme 
comportant au moins un centre de gestion et au 
moins un terminal re lie a ce centre, une carte a 
microprocesseur apres la fin de la periode de vali- 
dity de cette carte, caracterise par le fait qu'il 

io consiste a attribuer une identite* a chaque utilisa- 
teur et a la memoriser dans les cartes qui lui sont 
delivrees. et a verifier a la fin de la periode de 
validite d'une carte, tors de son renouvellement, 
que la nouvelle carte a la mime identite que la 

is carte precedente. 

2. Precede selon la revendication 1 , caracterise" par 
le fait que Ton reserve dans les cartes au moins un 
champ dans Iequel on memorise des donnees uni- 
ques relatives a l'identite de I'utilisateur et que Ton 

20 verifie dans la carte que lorsque I'utilisateur met en 
service une nouvelle carte, ledit champ de la nou- 
velle carte est le meme que celui de I'ancienne. . 

3. Procede selon Tune des revendications 1 ou 2, 
caracterise par le fait que lors du renouvellement 

25 d'une carte, on verifie que la nouvelle carte n'est 
pas une carte d£ja initialisee. 

4. Procede selon la revendication 3, caracterise par 
le fait que Tinitialisation d'une carte consiste, apres 
verification de la possession par I'utilisateur d'une 

30 carte precedente et d'une nouvelle carte de meme 
identite, a modifier de fagon irreversible une don- 
nee secrete de la nouvelle carte. 

5. Procede* selon ['une des revendications prec£- 
dentes, caracteVise* par le fait que lors de la mise 

35 en service d'une nouvelle carte, I'utilisateur doit 
composer un numeVo de code secret. 

6. Dispositif de protection contre I'utilisation par 
des personnes non autorise"es de cartes a micro- 
processeur dans un reseau de controle ou de 

40 distribution de biens ou de services, comprenant 
au moins un centre de gestion (2) ou emetteur et 
au moins un terminal (3), caracterise par le fait que 
ie terminal comporte des moyens permettant de 
memoriser le contenu crypto d'un champ donne (9) 

45 d'une premiere carte a. microprocesseur (5) utilised 
dans un terminal donne (3), et des moyens pour 
envoyer vers une seconde carte ledit contenu me- 
morise. 

7. Dispositif selon la revendication 6, caracterise 
so par le fait que chaque terminal comporte des 

moyens commandes par la carte pour envoyer a la 
carte une tension d'ecriture d'une information d'ini- 
tialisation de cette carte dans un champ (10 ) de la 
• memoire de cette carte. 
55 8. D6codeur pour le d£sembrouillage demission 
de television embrouiliees, caracterise par le fait 
qu'il met en oeuvre le procede selon I'une des 
revendications 1 a 5. 
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9. Decodeur pour le d^sembrouillage d'emission 
de television embrouillees, caracterise par le fait 
qu'il comporte un dispositif de protection selon la 
revendication 6ou 7. 
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